|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (13)
просмотр истории страницыИногда необходимо добавить дополнительные свои правила файрвола для работы дополнительного софта или по иным причинам (например безопасность или особенности маршрутизации). |
Это можно сделать следующим образом: {code} |
touch /app/reductor/cfg/userinfo/hooks/reductor_firewall.sh |
chmod a+x /app/reductor/cfg/userinfo/hooks/reductor_firewall.sh |
vim /app/reductor/cfg/userinfo/hooks/reductor_firewall.sh |
{code} |
и туда просто пишите любые нужные вам правила внутрь проверки того что хук вызвался при старте. |
В хук пишем любые нужные Вам правила внутрь проверки того что хук вызвался при старте. |
Вместо vim можете использовать любой удобный Вам редактор. |
Этот скрипт будет вызываться после старта файрвола Carbon Reductor. |
Стоит учитывать, что в цепочках уже есть правила. |
... |
if [ "$1" = 'start' ]; then |
iptables -I INPUT 1 -A reductor_input -p tcp --dport 80 -i eth0 -j DROP |
iptables -I INPUT 2 -A reductor_input -p tcp --dport 80 -i eth0.144 -j ACCEPT |
fi {code} |
за удаление правил не беспокойтесь, их редуктор при рестарте удалит сам (он чистит весь файрвол) свои цепочки). |
|
Стандартные цепочки не очищаются. |
h1. Примеры |
h2. Разрешить доступ к порту (на примере zabbix-agent): |
|
1. Заходим по SSH на сервер с Carbon Reductor. 2. Создаём файл {code} /app/reductor/cfg/userinfo/hooks/reductor_firewall.sh {code} С содержимым (обязательно укажите значение переменной $ZABBIX_SERVER_IP): {code} #!/bin/bash if [ "${1:-}" = 'start' ]; then ZABBIX_SERVER_IP=127.0.0.1 echo "Разрешаем подключения к zabbix-agent с $ZABBIX_SERVER_IP" iptables -A reductor_input -m state --state NEW -s "$ZABBIX_SERVER_IP" -m tcp -p tcp --dport 10050 -j ACCEPT || true fi {code} 3. Делаем его исполняемым: {code} chmod a+x /app/reductor/cfg/userinfo/hooks/reductor_firewall.sh {code} 4. Применяем: {code} chroot /app/reductor/ /usr/local/bin/reductor_firewall.sh --start {code} |
h2. Разрешить доступ к порту для определённого IP |
... |